在刚刚发布的《2022年上半年Web3安全态势深度研报》中,我们已经从各个维度展示和分析了区块链安全领域的总体态势,包括总损失金额、被攻击项目类型、各链平台损失金额、攻击手法、资金流向、项目审计情况等。
今天,我们就2022上半年Web3黑客常用的攻击方式展开分析,看看在所有被利用的漏洞中,哪些频率最高,以及如何防范。
一、上半年因漏洞造成的总损失有多少?
据成都链安鹰眼区块链态势感知平台监控显示,2022上半年共监测到因合约漏洞造成的主要攻击案例42次,约53%的攻击方式为合约漏洞利用。
通过统计,2022上半年共监测到因合约漏洞造成的主要攻击案例42次,总损失达到了6亿4404万美元。
金色晨讯 | 12月17日隔夜重要动态一览:21:00-7:00关键词:比特币21500美元、以太坊期货、币安宕机
1.芝加哥交易所集团将于2021年2月8日推出以太坊期货;
2.比特币突破20000美元大关之际 币安交易所APP出现宕机;
3.比特币总市值突破3900亿美元 续刷历史新高;
4.美国运通投资加密货币交易平台FalconX;
5.灰度资产管理总规模升至137亿美元;
6.嘉信理财高管:比特币已成为主流投资;
7.Filecoin将发布Lotusv1.3.0候选版本;
8.美股三大指数收盘涨跌互现 区块链概念股普遍收涨;
9.Plasm官方:Plasm将在Polkadot上达成ETH2.0;
10.比特币夜间持续上涨,日内最低报20550美元,最高报21563.83美元。[2020/12/17 15:28:49]
在所有被利用的漏洞中,逻辑或函数设计不当被黑客利用次数最多,其次为验证问题、重入漏洞。
金色晚报 | 9月29日晚间重要动态一览:?12:00-21:00关键词:Filecoin、以太坊2.0、V神、ETC
1. 国务院办公厅:充分运用区块链等新技术打破地域阻隔和部门壁垒。
2. Filecoin发布主网点火和启动阶段,预计10月15日启动主网。
3. 以太坊2.0新测试网Spadina已上线。
4. V神评论谷歌强制抽取分成:我们需要建立自己的应用商店和手机操作系统。
5. 报告:我国区块链专利申请数约占全球一半。
6. ETC Cooperative:强烈建议节点迁移至Hyperledger Besu网络。
7. 以太坊测试网开发者:阶段0是Eth2启动前的激励测试阶段。
8. 广东发改委:建设能源区块链平台系统。
9. 美国加州州长签署法律 为金融部门监管加密货币带来更多权力。[2020/9/29]
Solana跨链桥项目Wormhole遭到攻击,累计损失约3.26亿美元。黑客利用了Wormhole合约中的签名验证漏洞,这个漏洞允许黑客伪造sysvar帐户来铸造wETH。
金色晚报 | 8月30日晚间重要动态一览:12:00-21:00关键词:Uniswap、YFI、DeFi、BM
1.数据:Uniswap 24小时交易量首次高于Coinbase。
2.数据:灰度莱特币信托基金一度溢价超过1200%。
3.分析:Polkadot早期投资者的投资回报率大约2000%。
4.YFI创始人:DeFi爆炸式增长由贪婪驱动 但这种繁荣不可持续。
5.Ledger首席技术官:数据库泄露系攻击者配置错误API密钥所致。
6.《富爸爸,穷爸爸》作者:黄金白银和比特币将成为最大赢家。
7.BM评论以太坊抢先交易机器人事件:这就是以太坊不适合DeFi的原因。
8.YFII社区发起5号提案 提议将机池利润的5%分配给矿工开启循环挖矿。
9.比特币持续上涨,日内最低报11459.33美元,最高报11647.98美元。[2020/8/30]
2022年4月30日,FeiProtocol官方的RariFusePool遭受闪电贷加重入攻击,总共造成了8034万美元的损失。本次攻击对项目方造成了无法挽回的损失,8月20号,官方表示项目正式关闭了。
金色午报 | 4月12日午间重要动态一览:7:00-12:00关键词:税务、首尔、直布罗陀、杭州
1. 税务专家:疫情过后各国政府或助推对加密货币征税;
2. 首尔市Magok区招募区块链等项目参与者 并为选中项目提供约5.7万美元资助;
3. 杭州市空手道协会首次利用区块链技术存证获奖证书;
4. 四川省出台中医药创新发展实施意见 利用区块链等为中医药行业提供数据支撑;
5. ETH网络数据资源管理器The Graph发布V0.18版本节点;
6. 直布罗陀数字和金融服务部部长:直布罗陀在区块链采用方面处于领先地位;
7. Chainalysis:因比特币价格大跌,加密货币者收入下降33%;
8. 武汉大学学者:提升公共卫生事件应急能力 区块链具备很大潜力;
9. BTC矿工优化矿机运营效率以应对减半。[2020/4/12]
FeiProtocol事件回顾:
由于漏洞出现在项目基本协议中,攻击者不止攻击了一个合约,以下仅分析一例。
攻击交易
0xab486012f21be741c9e674ffda227e30518e8a1e37a5f1d58d0b0d41f6e76530
攻击者地址
0x6162759edad730152f0df8115c698a42e666157f
攻击合约
0x32075bad9050d4767018084f0cb87b3182d36c45
被攻击合约
0x26267e41CeCa7C8E0f143554Af707336f27Fa051
Balancer:Vault中进行闪电贷。
2.将闪电贷的资金用于RariCapital中进行抵押借贷,由于RariCapital的cEther实现合约存在重入。
攻击者通过攻击合约中构造的攻击函数回调,提取出受协议影响的池子中所有的代币。
3.归还闪电贷,将攻击所得发送到0xe39f合约中
本次攻击主要利用了RariCapital的cEther实现合约中的重入漏洞,被盗资金超过28380?ETH。
扩展阅读:“重入漏洞”如何破?损失约8034万美元,FeiProtocol被攻击事件分析
1.ERC721/ERC1155重入攻击
在通过链必验形式化验证平台检测合约时不乏存在ERC721/ERC1155标准相关的业务合约,在ERC721中,ERC1155中存在分别存在一个onERC721Received()/onERC1155Received函数用于转账通知,类似于以太坊转账的fallback()函数,在相关的业务合约中使用ERC721/ERC1155标准中的_safeMint(),_safeTransfer(),safeTransferFrom()进行铸币或者转账时都会触发转账通知函数。如果在转账的目标合约中的onERC721Received()/onERC1155Received中包含了恶意代码,就可能形成重入攻击。除此之外在相关业务函数未严格按照检查-生效-交互模式设计,上述两点共同导致了漏洞的产生。
3.鉴权缺失
铸币、设置合约特殊角色、设置合约参数的相关函数没有鉴权,导致三方地址也可以调用。
四、实际被利用的漏洞有哪些?哪些漏洞能在审计阶段发现?
根据成都链安鹰眼区块链安全态势感知平台所感知的安全事件统计,审计过程中出现的漏洞几乎都实际场景中被黑客利用过,其中合约逻辑漏洞利用仍然为主要部分。
通过成都链安链必验-智能合约形式化验证平台检测和安全专家人工检测审计,以上漏洞均能在审计阶段被发现,并且可由安全专家在做出安全评估后提出相关安全修补建议供客户作为修复参考。
通过链必验工具扫描出某合约存在重入漏洞
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。